Funções de usuário e permissões
O Microsoft Defender para Nuvem usa o RBAC do Azure (controle de acesso baseado em função do Azure) para fornecer funções internas. Você pode atribuir essas funções a usuários, grupos e serviços no Azure para dar aos usuários acesso aos recursos de acordo com o acesso definido na função.
O Defender para Nuvem avalia a configuração de seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender para Nuvem, você só vê as informações relacionadas a um recurso quando recebe uma destas funções para a assinatura ou o grupo de recursos em que ele está: Proprietário, Colaborador ou Leitor.
Além dessas funções internas, há duas funções específicas para o Defender para Nuvem:
- Leitor de Segurança: um usuário que pertence a essa função tem acesso somente leitura para o Defender para Nuvem. O usuário pode exibir as recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
- Administrador de segurança: um usuário que pertence a essa função tem os mesmos direitos do Leitor de segurança e também pode atualizar a política de segurança, bem como ignorar alertas e recomendações.
Recomendamos que você atribua a função menos permissiva necessária para os usuários realizarem suas tarefas. Por exemplo, atribua a função Leitor aos usuários que precisam apenas exibir informações sobre a integridade da segurança de um recurso, mas que não precisam executar nenhuma ação, como aplicar recomendações ou editar políticas.
Funções e ações permitidas
A tabela a seguir exibe as funções e as ações permitidas no Defender para Nuvem.
| Ação | Leitor de segurança / Leitor |
Administrador de Segurança | Colaborador / Proprietário | Colaborador | Proprietário |
|---|---|---|---|---|---|
| (Nível do grupo de recursos) | (Nível de assinatura) | (Nível de assinatura) | |||
| Adicionar/atribuir iniciativas (incluindo padrões de conformidade regulatória) | - | ✔ | - | - | ✔ |
| Editar política de segurança | - | ✔ | - | - | ✔ |
| Habilitar/desabilitar planos do Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar as recomendações de segurança a um recurso (e usar Correção) |
- | - | ✔ | ✔ | ✔ |
| Exibir alertas e recomendações | ✔ | ✔ | ✔ | ✔ | ✔ |
| Recomendações de isenção de segurança | - | ✔ | - | - | ✔ |
| Configurar notificações por email | - | ✔ | ✔ | ✔ | ✔ |
Observação
Embora as três funções mencionadas sejam suficientes para habilitar e desabilitar planos do Defender, para habilitar todos os recursos de um plano, a função de Proprietário é necessária.
A função específica necessária para implantar componentes de monitoramento depende da extensão que você está implantando. Saiba mais sobre componentes de monitoramento.
Funções usadas para provisionar automaticamente agentes e extensões
Para permitir que a função Administração segurança provisione automaticamente agentes e extensões usados nos planos do Defender para Nuvem, o Defender para Nuvem usa a correção de política de maneira semelhante à Azure Policy. Para usar a correção, o Defender para Nuvem precisa criar entidades de serviço, também chamadas de identidades gerenciadas, que atribuem funções no nível da assinatura. Por exemplo, as entidades de serviço para o plano do Defender para contêineres são:
| Entidade de Serviço | Funções |
|---|---|
| Perfil de Segurança do AKS de provisionamento do Defender para contêineres | • Colaborador da Extensão Kubernetes • Colaborador • Colaborador do Serviço de Kubernetes do Azure • Colaborador do Log Analytics |
| Defender para contêineres provisionando Kubernetes habilitados para Arc | • Colaborador do Serviço de Kubernetes do Azure • Colaborador da Extensão Kubernetes • Colaborador • Colaborador do Log Analytics |
| Provisionamento do Defender para contêineres do Azure Policy para Kubernetes | • Colaborador da Extensão Kubernetes • Colaborador • Colaborador do Serviço de Kubernetes do Azure |
| Extensão de Política de provisionamento do Defender para contêineres para Kubernetes habilitados para o Arc | • Colaborador do Serviço de Kubernetes do Azure • Colaborador da Extensão Kubernetes • Colaborador |
Permissões no AWS
Quando você integra um conector do Amazon Web Services (AWS), o Defender para Nuvem criará funções e atribuirá permissões em sua conta do AWS. A tabela a seguir apresenta as funções e permissões atribuídas por cada plano em sua conta do AWS.
| Planos do Defender para Nuvem | Função criada | Permissão atribuída na conta do AWS |
|---|---|---|
| GPSN do Defender | CspmMonitorAws | Para descobrir permissões de recursos do AWS, leia todos os recursos, exceto: consolidatedbilling: freetier: faturamento: pagamentos: cobrança: tax: cur:* |
| GPSN do Defender Defender para Servidores |
DefenderForCloud-AgentlessScanner | Para criar e limpar instantâneos de disco (delimitados por marca) “CreatedBy”: Permissões do "Microsoft Defender para Nuvem": ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Permissão para EncryptionKeyCreation kms:CreateKey kms:ListKeys Permissões para EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| GPSN do Defender Defender para Armazenamento |
SensitiveDataDiscovery | Permissões para descobrir buckets S3 na conta do AWS, permissão para o scanner do Defender para Nuvem acessar dados nos buckets S3. S3 somente leitura; KMS descriptografa kms:Descriptografar |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Permissões para descoberta de CIEM sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender para Servidores | DefenderForCloud-DefenderForServers | Permissões para configurar o acesso à rede JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender para Contêineres | DefenderForCloud-Containers-K8s | Permissões para listar clusters EKS e coletar dados de clusters EKS. eks:UpdateClusterConfig eks:DescribeCluster |
| Defender para Contêineres | DefenderForCloud-DataCollection | Permissões para o Grupo de Logs do CloudWatch criado pelo Defender para Nuvem “logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups autp logs:PutRetentionPolicy Permissões para usar a fila do SQS criada pelo Defender para Nuvem sqs:ReceiveMessage sqs:DeleteMessage |
| Defender para Contêineres | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Permissões para acessar o fluxo de entrega do Kinesis Data Firehose criado pelo Defender para Nuvem firehose:* |
| Defender para Contêineres | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Permissões para acessar o bucket S3 criado pelo Defender para Nuvem s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender para contêineres GPSN do Defender |
MDCContainersAgentlessDiscoveryK8sRole | Permissões para coletar dados de clusters do EKS. Atualizar clusters do EKS para dar suporte à restrição de IP e criar iamidentitymapping para clusters do EKS “eks:DescribeCluster” “eks:UpdateClusterConfig*” |
| Defender para contêineres GPSN do Defender |
MDCContainersImageAssessmentRole | Permissões para examinar imagens do ECR e do ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender para Servidores | DefenderForCloud-ArcAutoProvisioning | Permissões para instalar o Azure Arc em todas as instâncias do EC2 usando o SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| GPSN do Defender | DefenderForCloud-DataSecurityPostureDB | Permissão para descobrir instâncias de RDS na conta do AWS, criar um instantâneo da instância de RDS, – Listar todos os BDs/clusters do RDS – Copiar todos os instantâneos de BD/cluster – Copiar todos os instantâneos de BD/cluster – Excluir/atualizar instantâneo de BD/cluster com o prefixo defenderfordatabases – Listar todas as chaves KMS – Usar todas as chaves de KMS somente para os RDS na conta de origem – Listar chaves de KMS com o prefixo de marca DefenderForDatabases – Criar alias para chaves de KMS Permissões necessárias para descobrir, instâncias RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Permissões no GCP
Quando você integra um conector do Google Cloud Projects (GCP), o Defender para Nuvem criará funções e atribuirá permissões ao seu projeto GCP. A tabela a seguir apresenta as funções e permissões atribuídas por cada plano em seu projeto GCP.
| Planos do Defender para Nuvem | Função criada | Permissão atribuída na conta do AWS |
|---|---|---|
| GPSN do Defender | MDCCspmCustomRole | Essas permissões permitem que a função CSPM descubra e verifique recursos dentro da organização: Permite que a função visualize organizações, projetos e pastas: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Permite o processo de provisionamento automático de novos projetos e remoção de projetos excluídos: resourcemanager.projects.get resourcemanager.projects.list Permite que a função habilite os serviços do Google Cloud usados para a descoberta de recursos: serviceusage.services.enable Usado para criar e listar funções do IAM: iam.roles.create iam.roles.list Permite que a função atue como uma conta de serviço e obtenha permissão para recursos: iam.serviceAccounts.actAs Permite que a função visualize detalhes do projeto e defina metadados de instância comuns: compute.projects.get compute.projects.setCommonInstanceMetadata |
| Defender para Servidores | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Acesso somente leitura para obter e listar o Mecanismo de Computação recursos computacional.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender para Banco de Dados | defender-for-databases-arc-ap | Permissões para provisionamento automático ARC do Defender para bancos de dados compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| GPSN do Defender Defender para Armazenamento |
data-security-posture-storage | Permissão para o scanner do Defender para Nuvem descobrir buckets de armazenamento do GCP, para acessar dados nos buckets de armazenamento do GCP storage.objects.list storage.objects.get storage.buckets.get |
| GPSN do Defender Defender para Armazenamento |
data-security-posture-storage | Permissão para o scanner do Defender para Nuvem descobrir buckets de armazenamento do GCP, para acessar dados nos buckets de armazenamento do GCP storage.objects.list storage.objects.get storage.buckets.get |
| GPSN do Defender | microsoft-defender-ciem | Permissões para obter detalhes sobre o recurso da organização. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| GPSN do Defender Defender para Servidores |
MDCAgentlessScanningRole | Permissões para verificação de disco sem agente: compute.disks.createSnapshot compute.instances.get |
| GPSN do Defender Defender para servidores |
cloudkms.cryptoKeyEncrypterDecrypter | As permissões para uma função de KMS do GCP existente são concedidas para dar suporte à verificação de discos criptografados com CMEK |
| GPSN do Defender Defender para Contêineres |
mdc-containers-artifact-assess | Permissão para examinar imagens de GAR e GCR. artifactregistry.reader storage.objectViewer |
| Defender para Contêineres | mdc-containers-k8s-operator | Permissões para coletar dados de clusters do GKE. Atualize os clusters do GKE para dar suporte à restrição de IP. container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Defender para Contêineres | microsoft-defender-containers | Permissões para criar e gerenciar o coletor de logs para rotear logs para um tópico do Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender para Contêineres | ms-defender-containers-stream | Permissões para permitir que o log de eventos envie logs para o pub sub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Próximas etapas
Este artigo explicou como o Defender para Nuvem usa o Azure RBAC para atribuir permissões aos usuários e identificou as ações permitidas para cada função. Agora que você está familiarizado com as atribuições de função necessárias para monitorar o estado de segurança de sua assinatura, editar as políticas de segurança e aplicar recomendações, saiba como:
- Definir políticas de segurança no Defender para Nuvem
- Gerencie recomendações de segurança no Defender para Nuvem
- Gerencie e responda a alertas de segurança na Defender para Nuvem
- Monitoring partner solutions with Azure Security Center (Monitorando soluções de parceiros com a Central de Segurança do Azure)